Google reveló el miércoles que trabajó con socios de la industria para alterar la infraestructura de un presunto grupo de ciberespionaje vinculado a China, rastreado como UNC2814 que violó al menos 53 organizaciones en 42 países.
«Este actor prolífico y esquivo tiene una larga historia de atacar a gobiernos internacionales y organizaciones globales de telecomunicaciones en África, Asia y América», dijeron Google Threat Intelligence Group (GTIG) y Mandiant en un informe publicado hoy.
También se sospecha que UNC2814 está relacionado con infecciones adicionales en más de 20 países más. Se ha observado que el gigante tecnológico, que ha estado rastreando al actor de amenazas desde 2017, utiliza llamadas API para comunicarse con aplicaciones de software como servicio (SaaS) como infraestructura de comando y control (C2). La idea, añadió, es disfrazar su tráfico malicioso como benigno.
Un elemento central de las operaciones del grupo de hackers es una novedosa puerta trasera denominada GRIDTIDE que abusa de la API de Google Sheets como canal de comunicación para disfrazar el tráfico C2 y facilitar la transferencia de datos sin procesar y comandos de shell. Es un malware basado en C que admite la carga/descarga de archivos y la ejecución de comandos de shell arbitrarios.
Exactamente cómo UNC2814 obtiene acceso inicial sigue siendo un tema de investigación, pero se dice que el grupo tiene un historial de explotación y compromiso de servidores web y sistemas perimetrales.
Los ataques organizados por el actor de amenazas han aprovechado una cuenta de servicio para moverse lateralmente dentro del entorno a través de SSH. También se utilizan binarios que viven de la tierra (LotL) para realizar reconocimientos, escalar privilegios y configurar la persistencia para la puerta trasera.
«Para lograr persistencia, el actor de la amenaza creó un servicio para el malware en /etc/systemd/system/xapt.service y, una vez habilitado, se generó una nueva instancia del malware desde /usr/sbin/xapt», explicó Google.
Otro aspecto digno de mención es la implementación de SoftEther VPN Bridge para establecer una conexión cifrada de salida a una dirección IP externa. Vale la pena mencionar aquí que el abuso de SoftEther VPN se ha relacionado con múltiples grupos de hackers chinos.
Hay evidencia que indica que GRIDTIDE se coloca en puntos finales que contienen información de identificación personal (PII), un aspecto que es consistente con la actividad de ciberespionaje centrada en monitorear personas de interés. Google, sin embargo, señaló que no observó ninguna filtración de datos durante el transcurso de la campaña.
 |
| Ciclo de vida de ejecución de GRIDTIDE |
El mecanismo C2 de GRIDTIDE implica un mecanismo de sondeo basado en celdas, donde se asignan roles específicos a ciertas celdas de la hoja de cálculo para permitir la comunicación bidireccional.
- A1, para sondear los comandos del atacante y sobrescribirlos con una respuesta de estado (por ejemplo, SCR o Server-Command-Success)
- A2-An, para transferir datos, como salidas de comandos y archivos
- V1, para almacenar datos del sistema desde el punto final de la víctima
Como parte de la acción, Google dijo que puso fin a todos los proyectos de Google Cloud controlados por el atacante, deshabilitó toda la infraestructura UNC2814 conocida y cortó el acceso a las cuentas controladas por el atacante y a las llamadas API de Google Sheets aprovechadas por el actor para fines de comando y control (C2).
El gigante tecnológico describió la UNC2814 como una de las «campañas más impactantes y de mayor alcance» encontradas en los últimos años, y agregó que ha emitido notificaciones formales a las víctimas para cada uno de los objetivos y que está apoyando activamente a las organizaciones con compromisos verificados como resultado de esta amenaza.
El último descubrimiento es uno de los muchos esfuerzos simultáneos de los grupos de estados-nación chinos para integrarse en redes para obtener acceso a largo plazo. El desarrollo también destaca que el borde de la red continúa siendo el más afectado por los intentos de explotación en todo Internet, y los actores de amenazas frecuentemente explotan vulnerabilidades y configuraciones incorrectas en dichos dispositivos como un punto de entrada común a las redes empresariales.
Estos dispositivos se han convertido en objetivos atractivos en los últimos años, ya que normalmente carecen de detección de malware en los terminales, pero proporcionan acceso directo a la red o puntos de pivote a los servicios internos si se ven comprometidos.
«El alcance global de la actividad de UNC2814, evidenciado por operaciones confirmadas o sospechadas en más de 70 países, subraya la grave amenaza que enfrentan los sectores de telecomunicaciones y gobierno, y la capacidad de estas intrusiones para evadir la detección de los defensores», dijo Google.
«Las intrusiones prolíficas de esta escala son generalmente el resultado de años de esfuerzo concentrado y no se restablecerán fácilmente. Esperamos que UNC2814 trabaje duro para restablecer su huella global».